Tanya tentang malware PHP Upload Exploit di wordpress


Status
Not open for further replies.
boleh mas, silahkan tertawa saja bebas kok.

cuman mau kasih info saja sih, saya bisa memberikan info seperti itu karena saya sudah pernah melakukan sendiri dengan memanfaatkan kelemahan bug dari plugin revslider.
dulu saya temukan bug disana dimana ada celah untuk melakukan upload file dari plugin tersebut tan pa saya harus login ke cpanelnya ataupun ke wp-admin.

ini hanya sekedar contoh saja kok. jadi bisa juga karena ada celah dari plugin atau theme yang anda gunakan, sehingga fille bisa direplace dengan script yang anda infokan diatas.

masih mau ketawa ? monggo :)
 
ngapain ngerestore file yang udah di quarantine? itu virus loh
sama aja membahayakan pihak hostingnya
yang quarantine itu anti virusnya saya rasa bukan manual
 
ngapain ngerestore file yang udah di quarantine? itu virus loh
Mungkin yg dimaksud TS bukan direstore tapi tujuannya untuk mendapatkan file tersebut misalnya dikirim ke ybs sebagai data analisa, sapa tahu setelah baca2 isi di dalamnya ada informasi misalnya file itu bawaan dari mana,
Nah sepakat dengan teman2 di atas :
1. Analisa logs, baik logs dari server maupun logs dari administrator web jika ada,
2. Analisa juga plugin/themenya sapa tahu ada dari sana yg proses upoadnya, iya mungkin butuh kerja extra karena harus check satu2 manual, atau kalo ga mau ribet, instal ulang WPnya dgn db yg sama pluginnya sesuaikan dgn yg dipakai saja yg ga pakai dan atau yg ragu2 buang saja
3. Perhatikan permission folder/filenya agar tdk mudah dimodif/upload,
4. Koordinasi ke hosternya untuk bantu cari tahu juga

CMIIW
 
agak ribet kalo ngurusi maleware gini.. untung2an kadang bisa aman seterusnya..kadang jg suatu saat bakal jebol lagi
ya mau ga mau memang coba install ulang semua saja..
trus juga coba wp-config.php bagian hash nya di generate ulang.. lalu user pass wp-admin, database jg diganti semua..

Yup, saya sudah lakuin semua. berhubung ini cuma demo website, jadi saya tinggal install ulang semua

boleh mas, silahkan tertawa saja bebas kok.

cuman mau kasih info saja sih, saya bisa memberikan info seperti itu karena saya sudah pernah melakukan sendiri dengan memanfaatkan kelemahan bug dari plugin revslider.
dulu saya temukan bug disana dimana ada celah untuk melakukan upload file dari plugin tersebut tan pa saya harus login ke cpanelnya ataupun ke wp-admin.

hehe, bercanda aja mas ;). Itu saya kasih commen begitu karena sebelumnya saya sudah posting behubungan dengan plugin dan theme. malah saya sertakan daftarnya. berharap ada yang tahu plugin/theme mana yang bermasalah. Mungkin masnya kelewat membacanya.

ngapain ngerestore file yang udah di quarantine? itu virus loh

bukan nge-restore, tp minta filenya dikirm ke saya buat analisa. kan filenya .php jadi bisa lah baca dikit-dikit, klo file bin saya angkat tangan

1. Analisa logs, baik logs dari server maupun logs dari administrator web jika ada,
2. Analisa juga plugin/themenya sapa tahu ada dari sana yg proses upoadnya, iya mungkin butuh kerja extra karena harus check satu2 manual, atau kalo ga mau ribet, instal ulang WPnya dgn db yg sama pluginnya sesuaikan dgn yg dipakai saja yg ga pakai dan atau yg ragu2 buang saja
3. Perhatikan permission folder/filenya agar tdk mudah dimodif/upload,
4. Koordinasi ke hosternya untuk bantu cari tahu juga

Noted. thanks. Dari hoster gak ada clue. males juga ngotot-ngototan :D

Update

Berhubing cuma website demo, websitenya saya install ulang semua, semua file dan database saya hapus dulu semua, baru install ulang pake softaculous, jadi gak upload fia FTP. Terimakasih untuk semuanya yang sudah nimbrung di trit ini. mohon maaf kalo ada yang kurang berkenan ;)
 
Update
Berhubing cuma website demo, websitenya saya install ulang semua, semua file dan database saya hapus dulu semua, baru install ulang pake softaculous, jadi gak upload fia FTP. Terimakasih untuk semuanya yang sudah nimbrung di trit ini. mohon maaf kalo ada yang kurang berkenan ;)
Iya sich cuman, tp moga2 tdk kejadian di web yg sdh berjalan kedepannya, jd tetap butuh antisipasi, Aamiin
 
kejadiannya 30 maret yah... lama juga
tapi misal hoster punya fitur monthly backup, dicoba aja download monthly backupnya dari cpanel
barangkali bisa dapet file wp-acsesapps.php di dalam monthly backup

tapi kalo dari info "Known exploit = [Fingerprint Match] [PHP Upload Exploit]", sepertinya wp-acsesapps.php = file isi script php untuk fungsi upload
script gituan yg kesohor misalnyal : FilesMan
nah berarti ada backdoor/exploit yg lainnya lagi yg dipake untuk create/upload/inject file wp-acsesapps.php tadi
 
Mungkin yg dimaksud TS bukan direstore tapi tujuannya untuk mendapatkan file tersebut misalnya dikirim ke ybs sebagai data analisa, sapa tahu setelah baca2 isi di dalamnya ada informasi misalnya file itu bawaan dari mana,
Nah sepakat dengan teman2 di atas :
1. Analisa logs, baik logs dari server maupun logs dari administrator web jika ada,
2. Analisa juga plugin/themenya sapa tahu ada dari sana yg proses upoadnya, iya mungkin butuh kerja extra karena harus check satu2 manual, atau kalo ga mau ribet, instal ulang WPnya dgn db yg sama pluginnya sesuaikan dgn yg dipakai saja yg ga pakai dan atau yg ragu2 buang saja
3. Perhatikan permission folder/filenya agar tdk mudah dimodif/upload,
4. Koordinasi ke hosternya untuk bantu cari tahu juga

CMIIW

ooh kalo gitu gak masalah sih

bukan nge-restore, tp minta filenya dikirm ke saya buat analisa. kan filenya .php jadi bisa lah baca dikit-dikit, klo file bin saya angkat tangan

btw provider hostingnya mau ngasih filenya?
 
kejadiannya 30 maret yah... lama juga
tapi misal hoster punya fitur monthly backup, dicoba aja download monthly backupnya dari cpanel
barangkali bisa dapet file wp-acsesapps.php di dalam monthly backup

Ia, awalnya saya cuekin karena bisa di quarantine. eh ternyata ada 2-3 kali notif untuk kasus yang mirip

tapi kalo dari info "Known exploit = [Fingerprint Match] [PHP Upload Exploit]", sepertinya wp-acsesapps.php = file isi script php untuk fungsi upload
script gituan yg kesohor misalnyal : FilesMan
nah berarti ada backdoor/exploit yg lainnya lagi yg dipake untuk create/upload/inject file wp-acsesapps.php tadi

Noted, makasih infonya
 
Status
Not open for further replies.
Back
Top